为什么像 netgear 和 linksys 这样的大公司,路由器的固件下载还没用 https 加强下安全。。
kiari 2019-04-05 10:53:41 +08:00 6357 次点击这是一个创建于 2464 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现很多路由器的公司固件下载的地址都还在使用 http,,难道他们固件被篡改后不会被安装到路由器中吗?
现在路由器安全更新又很频繁,有时候一个月一次的安全固件就出来了,,
http 下载东西还真容易被缓存什么的,而且官网又不给出 sa1 或者 sha256 来对比下,,,
(最后吐槽下 safari 下载 zip 文件会自己自动解压出来,,万一下载到病毒不直接中毒啦,,好在还有关闭选项。。)
 | 1 lutla 2019-04-05 11:02:22 +08:00 解压 zip 怎么就会中毒了呢? |
 | 2 mikeguan 2019-04-05 11:03:34 +08:00 via Android 在 openwrt 下载东西,如果是 https 需要安装另外的 ssl 库,路由器空间有限。 |
 | 3 xratzh 2019-04-05 11:09:38 +08:00 via Android linksys 新固件升级后还可以回滚。那就不需要担心安全 |
 | 4 mgrddsj 2019-04-05 11:22:53 +08:00 via Android 话说,Safari 下载到一个 zip bomb 不就完了? |
 | 5 ysc3839 2019-04-05 11:28:13 +08:00 via Android 既然是自己的固件,可以自带一个公钥来验证固件的。 |
 | 6 em998 2019-04-05 11:29:33 +08:00 via iPhone openwrt 源默认也是 http 的 包找不到基本就是这的锅 |
 | 7 zhigang1992 2019-04-05 11:35:47 +08:00 这种东西里面内部做验证了吧,检查是否是 公司的 private key 签名过的。 就像 ubuntu 的源也是 http 的,微信网络 payload 虽然是明文的但是 payload 做了加密的验证。 所以被劫持了也没关系 |
8 Les1ie 2019-04-05 11:49:24 +08:00 via Android  3 |
 | 9 Osk 2019-04-05 11:50:25 +08:00 印象中 openwrt 好像是 http 下载, 但有 signature 检查? |
 | 10 ryd994 2019-04-05 12:32:30 +08:00 @Les1ie @Osk 包管理不需要 https 是因为包都是带签名的,而系统内置了 CA,所以可以验证签名 这和固件是两回事,硬件没办法验证固件。 secure boot 算一种,然而一般的路由器是不可能有这个功能的 那系统内置的 CA 如何保证呢: https://www.debian.org/CD/verify 所以其实是公开公钥的,大家可以自行验证 部分路由器会在上传页验证上传的固件,所以不需要 https。要知道有没有这个功能很简单:用 hex 编辑器打开文件,看看哪个 ASCII 字符串,改两个字。一般字符串常量就是直接写进去的。部分固件是压缩档,那就需要解压再改。 |
 | 11 liyuhang 2019-04-05 12:37:25 +08:00 我猜是懒吧,做了对自己又没好处,干脆不做了。 |
 | 12 yukiww233 2019-04-05 13:00:58 +08:00 |
 | 13 tony601818 2019-04-05 13:06:51 +08:00 裴讯的固件是有签名的。 话说回来,你觉得小白用户会自己升级固件吗? |
 | 14 fangxing204 &nsp; 2019-04-05 13:16:53 +08:00 via Android 下载最重要的应该是签名,https://whydoesaptnotusehttps.com/ |
 | 15 ifxo 2019-04-05 13:21:17 +08:00 没办法了,这些老公司都不重视安全,固件就没有验证吧,如果有的话怎么刷机玩呢 |
 | 16 zjl5918 2019-04-05 13:38:11 +08:00 via Android 安全了你还会买他们新出的路由嘛 |
 | 17 sweeneylin 2019-04-05 14:28:35 +08:00 ? Safari 可以设置下载后不自动解压呀,在偏好设置-通用里最后一行 |
| 18 sweeneylin 2019-04-05 14:29:13 +08:00 @sweeneylin 不好意思没看到最后一句。。。 |
 | 19 likuku 2019-04-05 14:34:29 +08:00 @zhigang1992 反面例子,1 月份 debian/ubuntu 的 apt/apt-get 就因为没有 https 而爆出可被中间人攻击的漏洞: Linux 包管理器 apt/apt-get 发现远程代码执行漏洞 : https://www.infoq.cn/article/ZySCJ4w48mH*gYWK0ZYe |
 | 20 weyou 2019-04-05 15:03:14 +08:00 via Android linksys 固件是有签名的啊,https 只是能防止 mitm 攻击,不能保证固件的正确性啊。这就像你安卓的 app 可以从各个 app 市场或者别人发的帖子里下载,那怎么保证它们没有被修改过,就是用签名保证的,签名不一致,你装都装不上。 |
 | 21 zingl 2019-04-05 18:33:41 +08:00 https 只解决传输过程安全性; 签名解决服务器端安全性,例如服务器被入侵、固件被替换;同时部分解决传输过程安全性,例如被 MITM 替换,说“部分”是因为比如 MITM 可以用旧版固件阻止路由器修补漏洞 |
 | 22 CallMeReznov 2019-04-05 18:46:18 +08:00 系统都是自己写的,想安全自己搞个自效验不就好了,说白了还是成本,想不想解决的问题. |
 | 23 testcaoy7 2019-04-05 19:05:36 +08:00 via Android 确实需要公钥签名,路由器系统可以自带 GPG |
 | 24 kiari OP 谢谢各位的回答,,,netgear 的有的有 https 有的没有的,,不知道怎么搞的。。为什么不直接全上,,而是有的产品有,有的产品没 |
Select Language